BitBox02 SD-Karten Backups extrem unsicher?!

Ja, das habe ich tatsächlich in Betracht gezogen. :slight_smile:

Ist aber irgendwie schade, dass es für paranoide Menschen wie mich nicht anders geht.

Was soll das denn? Dein Argument habe ich schon oft gehört, dann kann ich auch direkt anfangen mit antworten.

Sorry, aber da vergeht mir direkt die Lust überhaupt zu antworten.

Werde ich aber trotzdem tun da du offensichtlich nicht ganz verstanden hast worauf ich hinaus wollte.

Also, wir reden hier im Bitcoin und allgemein im Kryptographie Space immer von Standards. Wir denken uns keine hübschen DIY Lösungen selbst aus, da es die bewährten Lösungen bereits gibt, die von der Allgemeinheit anerkannt sind.

Du bringst hier zwei Dinge durcheinander.

  1. Das Backup auf der microSD Karte sei unsicher weil unverschlüsselt

  2. Verschlüsselung der Backups für mehr Sicherheit

Es ist völlig richtig dass bei höheren Summen (oder wenn man paranoid ist), ein Sicherheitskonzept dass über eine einfache Singlesig hinaus geht, sinnvoll ist. Das eine schließt das andere aber überhaupt nicht aus. Du kannst alle unten aufgeführten Methoden nutzen, das hat nichts mit dem microSD Backup zu tun.

Die gängigsten Optionen hier sind:

  • Optionale Passphrase - Erweiterung des Salt Wertes bei der Ableitung des Seeds, das bedeutet effektiv eine Verschlüsselung deines Backups.

    → Also wenn der Staat die Schliessfächer leert haben sie keine mathematische Chance (sie können dich natürlich erpressen) an deine Coins zu kommen sofern die Komplexität der Passphrase gut genug ist.

    Wobei du beim Erpressen hier sogar den Vorteil der Glaubhaften Abstreitbartkeit hast… Steht alles im verlinkten Beitrag.

  • Multisig - Mehrere Signaturen (in der Regel 2/3) werden für eine gültige Transaktion benötigt. Du hast also 3x 24 Wörter die an unterschiedlichen Orten gelagert werden. Auch hier kann man wenn es um sehr hohe Beträge geht zusätzlich eine Passphrase auf jedes Backup werfen.

    → Auch hier hat jemand der an eines deiner Backups kommt keine Chance.

  • Mnemonic Split - Aufteilen der Mnemonic sodass man mit 2/3 Backups die vollständigen 24 Wörter hat

    → Auch hier hat jemand der an ein…

Das entscheidende ist: Das sind bewährte Methoden! - Das ist der Standard! Da kannst du sicher sein und vor allem ich kann sicher sein, da ich das ganze ja an andere empfehle, dass es gut funktioniert.

Und das hier ist direkt das perfekte Beispiel. Ich will dir nichts unterstellen, aber wenn ich sowas höre gehen die roten Flaggen hoch.

Du hast mit einem „Algorithmus“ verschlüsselt aber kein Passwort…

Was auch immer das bedeuten soll - ich denke da aber direkt an DIY Lösungen, also Verschlüsselung von Hand. Das ist sehr gefährlich, da du nicht einschätzen kannst wie hoch die kryptographische Sicherheit deiner Backups ist. Natürlich ist das immer noch besser als keinen zusätzlichen Schutz, aber:

  • es besteht die Gefahr dass du dich in falscher Sicherheit wiegst

    → In deinem „Staat öffnet Bankschließfächer“ Szenario gäbe es sicherlich Möglichkeiten deinen „Algorithmus“ zu brechen.

  • es besteht die Gefahr dass du dich selbst oder deine Erben ausperrst - und dann kann dir niemand helfen weil niemand weiß was du da gemacht hast

Du bist mit den gängigen Optionen oben einfach besser aufgehoben. Es gibt keinen Grund sein Backup selbst zu verschlüsseln anstatt einfach eine BIP39 Passphrase zu nutzen. Beim selbst verschlüsseln macht jeder zweite einen Fehler, ohne es zu merken.

Beim Einrichten der BitBox02 macht sie zwingend ein Backup um sicher zu stellen dass der Nutzer ein valides Backup hat. Vorher lässt sie dich nicht an Adressen ran,

Auf Würfeln komme ich da du so deine eigene Mnemonic außerhalb der Bitbox02 generieren kannst, mit dieser manuell wiederherstellst und somit das Backup auf der microSD umgehst.

Ich habe auch nie etwas anderes behauptet. Natürlich muss man in so einem Fall sofort seine Coins wieder kalt stellen.

Du hast meine Antwort und den verlinkten Beitrag aber schon gelesen, oder?

Nochmal:

Du kannst mit einer optionalen Passphrase dein Backup effektiv verschlüsseln.

Das ist garantiert sicherer als dein DIY-Setup.

Macht man hingegen eine direkte Verschlüsselung der Karte zum Standard für alle Nutzer, werden Reihenweise Nutzer ihre Coins verlieren. Fakt - und Grund warum Shift diese Entscheidung getroffen hat.

Nein, auf der BitBox02 wiederherstellen. Die BitBox02 kennt die Wordlist und berechnet dir automatisch die Checksumme.

Ganz genau.

Das ist der Grund warum ich deine Argumentation nicht nachvollziehen kann. Du gehst vom Worst-Case aus, aber irgendwie auch wieder nicht.

7 „Gefällt mir“

Ich bin zu 100% der Meinung von @sutterseba ABER

Vielleicht können wir die Diskussion wieder in eine konstruktivere Richtung lenken.

Ich würde dir @HeinrichRosenernte zunächst empfehlen, dir mal das Konzept des SeedSigner anzuschauen. Damit kannst du kostengünstig MultiSig Wallets erstellen und bist sicherheitstechnisch wieder auf einem ganz neuen Level.

Ansonsten könnten wir die Gelegenheit nutzen, um über einen besseren Kompromiss aus Sicherheit und Benutzerfreundlichkeit zu sprechen. Wäre interessiert daran, was du dir konkret vorstellen könntest. Die Verschlüsselung des Backups ist für mich in jedem Fall eine Rückschritt.

2 „Gefällt mir“

Hm, danke für die ausführliche Antwort. Das mit der optionalen Passphrase muss ich gleich nochmals. Ich dachte, das würde aus der 2048-Wörter Liste einfach ein zusätzliches hinten dran hängen, das dann mit maximal 2048 Versuchen erratbar wäre. Dass diese auch auf das SD Backup angewendet wird, war mir nicht bewusst. Dachte, das wäre dann nur für das Gerät selber und das Backup könnte trotzdem noch einfach eingesteckt und das Device damit wiederhergestellt werden.

Danke schonmal für die Ausführungen!

1 „Gefällt mir“

Das Multisig-Konzept kenne ich im groben, aber das ist mir zu viel „Aufwand“. Da fände ich Seed-Splitting besser. Aber danke auch dir! :slight_smile:

Zu deinem Punkt, was mein Konzept wäre, hier mal im groben die abstrahierte Idee:
Ich habe die HW zu Hause und kann damit Bitcoin senden und empfangen. Diese ist mit einem Passwort geschützt und nur ich kenne das. Der Seed liegt im Bankschliessfach (egal in welcher Form), womit niemand was anfangen kann, da man ihn nicht einfach lesen und nutzen kann, sondern man muss wissen, „wie“ man ihn einliest und das ist nicht ergründlich anhand der Dokumente und Medien, die mit im Schliessfach liegen.

Auf keinen Fall darf jemand irgend eines all der Beteiligten Elemente in die Finger kriegen können und direkt Zugriff auf meine Coins haben, weil irgendwas im Klartext hinterlegt ist. Es soll keinen single Single Point of Failure geben.

Anmerkung: Das mit der Passphrase ha ich zum Zeitpunkt noch nicht genau gelesen. Eventuell ermöglicht der Tipp von @sutterseba genau das. :slight_smile:

1 „Gefällt mir“

Da bist du nicht der Einzige.

Die optionale Passphrase wird oftmals als „25. Wort“ bezeichnet, weshalb man halt wortwörtlich an ein zusätzliches Wort denkt…

Dabei kann die Passphrase sogar eine höhere Entropie haben als die Mnemonic selbst! :smiley:

Sie wird nicht direkt auf das Backup angewendet, lies dir wirklich mal den Beitrag durch.

Aus Backup + Passphrase entsteht einfach ein komplett anderer Seed-Wert. Deswegen ist das (unverschlüsselte) Backup ohne Passphrase nutzlos.

Mit einem Split würdest du das auf jeden Fall hinbekommen. Ein Backup bei dir zu Hause, eins bei der Bank und das dritte an einer anderen, sicheren Location.

Die drei Backups musst (und solltest) du dann nicht verschlüsseln.

Das ist vor allem für Erben deutlich einfacher nachvollziehbar, da sie einfach zwei Backups brauchen und dann mit jeder gängigen Software wiederherstellen können.

Das gilt natürlich auch für dich, du kommst im Notfall einfach an deine Coins ran und musst dich nicht mit deinem Algorithmus beschäftigen den du vielleicht zur Hälfte schon vergessen kannst.

Zum Split schau noch in diesen Thread:

3 „Gefällt mir“

Wow, ein echt geiler Beitrag!! Meine Fragen wurden alle beantwortet.

Dann war mein Hauptproblem wohl das Naming. „25. Wort“ und „Passphrase“ waren für mich weniger Hilfreich. Aber „Seed-Salt“ oder sowas hätte es direkt klar gemacht. Auch gute Grafiken von dir die du da verwendest!

Also dass die Passphrase einfach den Seed salted macht sowas von Sinn und löst auch direkt das Problem, nicht das ganze Risiko an einem Ort zu haben!

Das war eigentlich alles, was ich gesucht habe. Das Konzept könnte eigentlich simpler nicht sein und macht 100% Sinn, vielen vielen Dank für die Hilfe!

Schade, habe ich den Beitrag nicht selber über Google gefunden.

3 „Gefällt mir“

Grafiken sind nicht von mir! Aber schön dass der Beitrag geholfen hat :slight_smile:

Du musst nur Bedenken dass du mit einer Passphrase 2/2 Backup brauchst für den Zugriff. (1x Mnemonic | 1x Passphrase)

Das bedeutet wenn ein Ort ausfällt (Hütte brennt ab) hast du den Totalverlust.

Wenn du Multisig oder einen Mnemonic Split verwendest brauchst du 2/3 Backups für den Zugriff.

Das ist zwar ein Ort mehr, aber gleichzeitig kann jetzt einer ausfallen und deine Coins bleiben sicher. Man muss auch Bedenken dass ein Einbrecher ein gefundenes Backup auf jeden Fall mitnehmen wird, und im Fall von 2/2 stehen dann sowohl der Einbrecher als auch du selbst ohne Coins da!

(Stimmt natürlich nicht ganz, da du deine HW Wallet noch hast - Aber nur mal als Überlegung)

1 „Gefällt mir“

Vielleicht ein Missverständnis, aber bei Verwendung einer Passphrase sollte man natürlich sowohl den Mnemonic, als auch die Passphrase jeweils doppelt sichern.

D.h. man benötigt vier getrennte Sicherungs-Orte, wobei zwei davon auch im selben Haus sein können. Also sichert man z.B. Mnemonic und Passphrase an zwei unterschiedlichen Orten im Haus. Das gleiche dann nochmal in einem anderen Haus.

Natürlich ist das dann nicht die gleiche „Trennungs-Sicherheit“ wie beim Split oder Multisig.

2 „Gefällt mir“

Auf jeden Fall!

Das war jetzt ein extremes Beispiel um den Vorteil von 2/3 deutlich zu machen. Man hat mit der Passphrase immer das Problem dass sie „endgültig“ ist.

1 „Gefällt mir“

Naja, man kann es theoretisch so machen, dass der PIN der BitBox auch die Passphrase darstellt (und diesen eventuell sogar an den Rand der Stahlplatten stanzen). Oder ihr nehmt den PIN eurer SIM-Karte. Oder den Entsperrcode des iPads, den die Frau vielleicht auch kennt. Super unsicher natürlich, aber es geht um die Erhöhung der Komplexität. Jemand kann nicht einfach die 24 Wörter nehmen und hat deine Coins, sondern es ist immerhin noch eine weitere Hürde da, die es zu verstehen gilt, bevor man handeln kann. Keine Empfehlung sowas dummes als Passphrase zu nehmen! :smiley: Aber es könnte auch sowas sein.

Ich nehme das Goldverbot immer gerne als Beispiel, weil man nur auf das Gold aus war und nichts anderes. Die ganzen Silber-Trolls nehmen ja immer als Argument, dass Gold in der Krise verboten wird und man Silber behalten kann, weil’s beim letzten mal auch so war (lol). Gold konnte man halt auch relativ einfach einsammeln und man hat viel Geld pro Volumen gehabt.

Wenn das irgendwann mal mit BIP39 passiert und man da nach Standardverfahren einfach alle Stahlplatten abgreift und durchrattert, dann will ich da immerhin eine zusätzliche Hürde drin haben. Natürlich könnte man dann immer noch mit moderatem Aufwand an die Coins kommen, aber ob sich der Staat in so einer Situation für sowas die Zeit nehmen würde, weiss ich nicht.

Aber einfach so den eigenen Seed auf der SD Karte haben und jeder kann damit direkt und ohne Hürde Zugriff auf die Coins bekommen, das wäre mir persönlich zu riskant. Trotzdem habe auch ich meine Grenze zu „wie sicher muss es denn effektiv sein“. Aber Instant-Access sollte es nie geben, wenn man an nur eines der Elemente kommt.

Bei den Stahlplatten mag das eine Verschlüsselung sein. Bei der BitBox ein PIN, bei der SD Karte ein Salt. Somit hat man bei jedem „Element“ mindestens eine Hürde mit dabei.

Und von den Locations her ist man auch abgesichert. BitBox vielleicht zu Hause, Stahlplatte vielleicht im Schliessfach, SD Karte vielleicht sonst wo in der Familie.

By the way: Im Totalverlust könnte ich mit Seed und Passphrase auch einen Ledger (oder irgend ein HW-Wallet) nehmen und es wiederherstellen, oder? Weil die Derivation Paths einigermassen standardisiert sind (soweit mein aktueller Kenntnisstand).

Das ist ja vollkommen nachvollziehbar; du bist nicht der einzige. Aber wie @sutterseba schon gesagt hat, gibt es dafür schon Standard-Lösungen:

  • Zusätzliche Passphrase, wobei du die Passphrase dann eben nicht neben den 24 Wörtern auf die Platte stanzen solltest. Damit wäre ja der komplette Nutzen dahin. Sichern auf jeden Fall, aber nicht am gleichen Ort.
    Wenn dann jemand entweder deine SD Karte, oder deine 24 Wörter, oder deine Passphrase findet, kann er damit nichts anfangen. Wobei die Pasphrase dafür eine gewisse Mindestkomplexität haben sollte.

  • Vernichten der SD-Karte oder „Wiederherstellung“ mit selbst erzeugtem Mnemonic. In beiden Fällen müsstest du immer noch auf Papier oder Platte sichern, könntest aber splitten.
    Auch bei dieser Lösung kann man mit einer einzelnen Sicherung nichts anfangen.

Und nochmal @sutterseba’s Frage:

Wenn es die Möglichkeit gäbe, den Mnemonic auf der SD mit einem Passwort zu verschlüsseln, wo wäre dann bzgl. Sicherung der Unterschied zu einer BIP39 Passphrase?

1 „Gefällt mir“

Richtig. Funktioniert auch mit den gängigen Hot Wallets wie Electrum oder BlueWallet.

Damit schwächst du den im Beitrag erklärten Vorteil der Plausible Deniability ab. Wenn du bedroht wirst gehst du in die Wallet ohne Passphrase, dein Gerätepasswort musst du dabei aber wahrscheinlich aufgeben. Wenn es identisch mit der Passphrase ist hat der Angreifer eine Chance auch an die abgestrittene Wallet zu kommen.

Das ist natürlich extrem hypothetisch.

Ist auf jeden Fall nachvollziehbar…

Aber mit minimalem Aufwand mehr (also eine komplexere Passphrase) kommt man auch mit Aufwand nicht mehr an die Coins.

Deshalb halte ich von absichtlich schlechten Passphrasen nicht viel.

Mit Passphrase brauchen deine Stahlplatten aber keine extra Verschlüsselung mehr.

Ich weiß nicht wieso du „PIN“ zum Gerätepasswort der BitBox sagst, aber das kann ein beliebiges Passwort sein, das ist klar, oder?

1 „Gefällt mir“

Wenn es die Möglichkeit gäbe, den Mnemonic auf der SD mit einem Passwort zu verschlüsseln, wo wäre dann bzgl. Sicherung der Unterschied zu einer BIP39 Passphrase?

Den gibt es nicht. Ich habe es falsch verstanden. Respektive eine verschlüsselte SD wäre in diesem Fall sogar (unnötig) höhere Komplexität, weil du etwas zur Entschlüsselung brauchst. Das „25. Wort“ wird über diverse HW-Wallets native supportet soviel ich weiss.

2 „Gefällt mir“

Ich weiß nicht wieso du „PIN“ zum Gerätepasswort der BitBox sagst, aber das kann ein beliebiges Passwort sein, das ist klar, oder?

Ja klar… ich Idiot, lol. Bei Ledger ists ja nur ein PIN.

Danke euch vielmals für eure Hilfe!

Vielleicht nochmal einen Schritt zurück zur gesteigerten Komplexität…
Die Nutzung der Passphrase stellt ein Risiko dar und schon so Einige haben ihre Coins wegen schlechtem Backup/Gedächtnis/Schreibfehler verloren.

Eine Möglichkeit für ein (bedingt sicheres) Backup könnte sein, wenn du als Passphrase einen Satz aus einem Buches nimmst. Etwa den ersten Satz deines Lieblingsbuches. Dies hätte den Vorteil, dass man das Backup der Passphrase immer griffbereit hat, es jederzeit wiederherstellbar wäre und (da man nichts markieren muss) für jeden Unbefugten unsichtbar ist.

Das würde ich auf keinen Fall machen!

Angenommen ein Dieb hat es darauf abgesehen die Passphrase zu knacken, ist also bereit dafür etwas Zeit und Rechenleistung zu investieren. Dann wird er ganz sicher nicht einfach nur zufällige Zeichen durchprobieren.

Stattdessen wird er mit all den Möglichkeiten beginnen, die Leute als Passphrase wählen würden, die sich nicht wirklich Gedanken darüber gemacht haben. Dazu gehören beispielsweise Namen, Datumsangaben, Kombinationen daraus mit einfachen Zeichen etc., aber auch bekannte Zitate und Buchausschnitte.

Falls man jetzt denkt „Quatsch, auf so etwas kommt niemand!“, sollte man sich mal folgenden Artikel durchlesen:

https://blog.bitmex.com/call-me-ishmael/

Dort wurden testweise Bitcoin Private Keys aus bekannten Zitaten und Buchausschnitten generiert und mit jeweils 0,005 BTC ausgestattet. Innerhalb von Sekunden waren diese alle weg.

3 „Gefällt mir“

Wegen solch qualifizierten Beiträgen ist das Forum hier so gut. Genau so etwas wollte ich hören. Vielen Dank!!

1 „Gefällt mir“

Ich selber finde deine Idee nicht so schlecht, aber wie skyrmion schon schreibt, ist das ein massiv erhöhtes Risiko. Aber ich sage mal so: Ich persönlich habe mein Zeug auf der Bank, da fürchte ich mich wenig vor Einbrüchen, sondern mehr vor dem Staat. Wenn es der Staat auf MEINE Bitcoin abgesehen hat, dann wird er die auch bekommen und wenns über lebenslange Haft sein müsste (unrealistisch, aber nur als Beispiel). Falls der Staat unbedingt Geld braucht und sämtliche Schliessfächer nach Keys durchsucht, dann werden vermutlich 90% der Wallets, die sie finden, direkt accessible sein. Wenn du dann eine Passphrase hast die „Regenbogen“ heisst wird das vermutlich Grund genug sein, dass die Platte irgendwo wütend in eine Ecke geschmissen wird. Ich kann mir kaum vorstellen, dass sie für 10% der verschleierten Wallets dann 99% des ganzen Aufwandes betreiben würden.

Von daher ist so ein eifaches Passwort sicher besser als gar keines. Aber Hacker heutzutage nutzen für solche Angriffe „Dictionaries“, welche genau das machen. Eine riesen Kollektion von Wörtern und bekannten Passwörtern, die in Sekunden durchgeackert werden. So ein Hacker hätte dein „Regenbogen“ Passwort relativ zeitnah geknackt.

In meinem Fall kennen mehrere Leute mein Passwort, das ich verwenden würde. Sie kennen aber den Rest nicht. Den Rest (24 Wörter) würden sie erben, falls mir was zustossen würde. Mir ist es daher lieber, dass das Passwort primitiv ist und selbige Leute auch woanders ab und zu nutzen und es somit gar nicht „verlegen“ können.

Aber ich denke mal, der typische Einbrecher aus dem nahen Osten, der deine 24 Wörter findet, wird diese kurz ausprobieren und das Ding dann entsorgen wenn dann keine Coins sieht. Das ist das schöne am Salting: Du kannst den Seed auch ohne Salt nutzen und es funktioniert, aber du siehst dann eben nicht das Wallet, das die Coins hat, sondern ein leeres Wallet und denkst dann, dass da halt einfach nix drauf ist. Du könntest sogar auf dem „leeren“ Wallet eine Transaktion hin und wieder wegsenden, so dass es für den Angreifer so aussieht, als wäre das mal benutzt gewesen und halt mittlerweile einfach leer. :slight_smile:

Zu Schutzkonzepten kann man kreativ werden.